En mai 2018, c’était l’acronyme sur toutes les lèvres : RGPD. Le Règlement Général sur la Protection des Données était mis en application au sein de l’Union Européenne. Et avec lui, la promesse d’une utilisation plus vertueuse des données privées des citoyens européens.
Alors, 3 années et une crise sanitaire mondiale plus tard, où en est-on ? Comment les entreprises ont-elles intégré le RGPD ? Quelles sont les avancées sur la protection des données personnelles ? Pour répondre à ces questions, notre DPO – Laetitia Pereira – et notre Responsable Marketing Digital – Mélanie Cohen-Lorentz – vous livrent leurs sentiments.
Cybersécurité
09 novembre 2021 –
7 mn de lecture
Le Règlement Général sur la Protection des Données a un double objectif :
Mais le RGPD c’est aussi des amendes record.
En effet, pour s’assurer que la règlementation ne soit pas un coup d’épée dans l’eau, le texte prévoit des sanctions allant jusqu’à 4% du CA annuel mondial des entreprises en faute pour les manquements les plus graves. Et des communications publiques en mode “walk of shame”. Autant dire que le RGPD n’est pas à prendre à la légère.
Quel est votre état des lieux après 3 années ?
Laetitia Pereira : Plusieurs baromètres ont été publiés sur le RGPD et ils sont encourageants ! De plus en plus d’entreprises nomment des DPO (Data Protection Officier). Nous sommes désormais 72 000 en France. Ce qui me semble être un indicateur positif dans la recherche de compliance des sociétés françaises. Ces trois années ont été riches ; et notamment sur la thématique de la cybersécurité qui est un volet important du RGPD.
Mélanie Cohen-Lorentz : Pour ma part, je remarque que le RGPD a fait beaucoup réagir. Dans notre quotidien, de plus en plus de contacts font référence au RGPD quand ils ont des demandes relatives à la gestion de leurs données.
LP : Oui, les utilisateurs ont pris conscience de la potentielle vulnérabilité de leurs données et de leur nécessaire protection dans leur quotidien numérique. Et les entreprises des bonnes pratiques à respecter !
MCL : Après, quand ils font valoir leurs droits, ils manquent des fois d’informations sur ce qu’ils peuvent demander ou non concernant leurs données mais on prend du temps pour leur expliquer la marche à suivre.
Et comment jugez-vous la maturité des entreprises face au RGPD ?
Laetitia Pereira : De mon point de vue, il existe une grande disparité selon la structure, sa taille, son secteur d’activité mais aussi du type de données qu’elle gère. Par exemple, chez Divalto, nous appliquons majoritairement des règles « de professionnel à professionnel ». Nous avons moins de contraintes que des entreprises tournées vers le B2C ou traitant des données sensibles comme les données de santé.
Mélanie Cohen : En même temps, d’un point de vue opérationnel et concernant uniquement mon activité, je trouve qu’on nageait un peu à vue en 2018. Chez Divalto, je gère les canaux digitaux et notamment ceux dédiés à l’acquisition de nouveaux contacts. Avec Laetitia, nous avons passé un temps non négligeable à écrire – et réécrire – les politiques de confidentialité, le détail des traitements réalisés, à détailler les cookies que nous utilisons,… Et nous continuons à peaufiner les réglages ! Avec les nouvelles directives de la CNIL concernant les cookies, nous avons dû revoir toute notre mécanique de dépôt.
LP : Oui, c’est pour moi la vraie leçon de ces trois années. Nous avons tous imaginé le RGPD comme une fin à atteindre dès 2018. Il fallait se mettre en conformité et rapidement. Alors qu’en réalité c’est un long processus. Avec des remises en question régulières. La CNIL continue d’ailleurs à publier des documents, recommandations, livre blanc… régulièrement. Prenons pour exemple l’invalidation du Privacy Shield et ses lourdes conséquences pour les organismes souhaitant transférer des données hors de l’UE. Il vaut mieux désormais réfléchir à 2 fois avant de transférer des données aux USA. Et même lorsque toutes les mesures nécessaires ont été prises, il vaut mieux réévaluer à intervalles réguliers la législation et les pratiques du pays et vérifier si les « mesures supplémentaires » prises sont toujours appropriées.
C’est-à-dire ? Qu’entendez-vous par ça ?
Laetitia Pereira : Nous avons tous visé une pleine compliance au RGPD en 2018. Pour moi, c’est plus un objectif cible à atteindre qu’une réalité immédiate. Et ça me semble être une bonne chose ! Nous devons continuer à nous questionner, à nous remettre en question et à améliorer notre gestion des données personnelles.
Mélanie Cohen : Oui, c’est vrai que cela ressemble un peu au passage d’une certification. Il y a un travail de cartographie et d’analyse, puis des choses “vitales” à mettre en place et après c’est de l’amélioration continue. Le plus important reste quand même de sensibiliser et de faire du RGPD un projet d’entreprise. Je trouve que, notamment sur ce point, nous avons un peu manqué de méthodologie. De guides (de la CNIL par exemple) pour nous aider à mettre en place le RGPD étape par étape aurait été bienvenue et ce dès l’entrée en vigueur du règlement.
Pour vous, quelles sont les faiblesses de cette réglementation ?
Mélanie Cohen : En 2018, il y avait quelques failles qui ont été réglés depuis. Enfin, faille, le terme est un peu fort mais les textes n’étaient pas suffisamment précis sur le “comment” gérer certaines situations. Par exemple, on pouvait demander une suppression totale des données d’un contact. Mais cela n’empêchait pas de racheter via un prestataire les coordonnées de ce même contact en toute légalité dès le lendemain ! Souvent, je me permettais de conseiller aux personnes m’en faisant la demande de plutôt se désabonner.
Laetitia Pereira : Oui, la CNIL a divulgué ses recommandations au compte-goutte. Le soutien et les informations disponibles sur la façon dont les entreprises pouvaient se conformer au RGPD ont été distillés au fur et à mesure. Après, il ne faut pas oublier qu’en France nous n’étions pas non plus au niveau 0 de la protection des données. Nous avions la loi Informatique et Libertés de 1978 qui encadrait déjà l’utilisation des données personnelles. De ce fait, le RGPD n’était pas vraiment une révolution. La principale critique que je pourrais formuler est que les autorités nationales manquent parfois de pragmatisme face à la réalité économique. Reprenons l’exemple du Privacy Shield. Il a été invalidé sans réelle alternative. Le temps que la CNIL et ses homologues analysent les conséquences de cette invalidation, en tirent les conséquences et nous communiquent les actions à mettre en œuvre, aucune solution pratique ne nous a été proposée pour continuer à travailler en pleine sécurité avec des sociétés américaines. Les entreprises ont, plus que jamais, été laissées dans le flou.
MCL : Oui, il n’y a qu’à regarder les investissements publicitaires. Les régies les plus utilisées sont américaines. Certaines entreprises ne peuvent pas se passer de la clientèle que leur apportent les publicités sur les réseaux sociaux ou encore sur les moteurs de recherche.
LP : C’est tout à fait exact ! Heureusement que les solutions made in France se développent peu à peu. La CNIL et le RGPD auront mis à rude épreuve l’agilité des entreprises françaises : elles en sortiront forcément grandies !
Le contexte (sanitaire, économique, géopolitique, …) tendu de ces dernières années a donné un coup d’accélérateur à la digitalisation des entreprises, avec un intérêt accru pour les logiciels et applications smart, faciles à appréhender.
Le contexte (sanitaire, économique, géopolitique, …) tendu de ces dernières années a donné un coup d’accélérateur à la digitalisation des entreprises, avec un intérêt accru pour les logiciels et applications smart, faciles à appréhender.
